Показано с 1 по 18 из 18.

Посторонний траффик и отсутствие доступа к kaspersky.ru (заявка № 66052)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29

    Arrow Посторонний траффик и отсутствие доступа к kaspersky.ru

    Несколько дней назад замечен посторонний траффик - не большой, возникающий без закономерности. Может быть около 10-30Мб за час. Также нет доступа к kaspersky.ru.
    tracert kaspersky.ru
    Tracing route to kaspersky.ru [81.177.31.148] over a maximum of 30 hops:
    1 2 ms 15 ms 3 ms bsr02.volgograd.ertelecom.ru [88.87.65.94]
    2 3 ms 3 ms 1 ms te-2-0-0-48.bsr01.volgograd.ertelecom.ru 88.87.65.193]
    3 1 ms 13 ms 1 ms 83.149.18.165
    4 33 ms 33 ms 34 ms 10.222.77.166
    5 33 ms 33 ms 33 ms mow-m9-i2-link.telia.net [213.248.100.165]
    6 * * * Request timed out.
    Причём сайты всех других антивирусных программ открываются, также открываются kaspersky.com, support.kaspersky.ru и другие домены и субдомены касперского.

    Я пытался найти причины вручную. Но не смог найти никакой наводки на возможного виновника. Вот что всёже удалось определить:
    - С помощью iptools.exe можно видеть периодически возникающие соединения, вроде такого:
    ???:0 88.87.93.**:1399 212.118.48.189:443
    Они появляются и исчезают сами по себе - иногда их много, а иногда нет вообще.
    - У меня статический IP 88.87.93.**, провайдер "Дом.РУ" (Волгоград). Но при подключении обычным модемом через ЮТК, доступ к kaspersky.ru ЕСТЬ.

    Антивирус - аваст, базы обновляются регулярно. Выполнены все шаги по пунтам правил:
    - Выполнена проверка всех дисков авастом перед загрузкой системы. Ничего.
    - Выполнены проверки новыми AVPTool и CureIt в безопасном режиме. Ничего.
    - Созданы необходимые логи, они приложены к теме.
    Компьютер используется для работы - из не самого распространённого ПО только Denver.

    Около месяца назад была проблема с ошибкой в службе Generic Host Process (http://notes.rudomilov.ru/2007/12/07...-host-process/) - был большой посторонний траффик (сотни Мб за час) и возникновение этой ошибки. Проблему удалось решить с помощью ComboFix.exe.

    Прошу помощи! Очень трудно работать и есть опасения за сохранность данных.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    uarantineFile('C:\WINDOWS\system32\drivers\fklcc.sys','');
     DeleteService('dtaif');
     DeleteFile('C:\WINDOWS\system32\drivers\fklcc.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Скрипт выполнен. Карантин отправлен (100106_160616_virus_4b448ac8d395b.zip). Доступа к kaspersky.ru по прежнему нет.

    При последней загрузке системы (до выполнения скрипта) аваст не запустился, при попытке запуска вручную - сообщение (приложено). Т.е. антивируса сейчас нет. Возможно этот вирус повредил аваст и я поймал ещё что-то.

    Я ещё раз сделал 3 лога (приложено).

    Как считаете, есть ещё средства кроме форматирования системного диска?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + отчет GSI (ссылка в подписи)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Скрипт выполнен, карантин выслан (100107_121944_virus_4b45a7309dc40.zip). Доступа к kaspersky.ru по прежнему нет.

    Сделаны 4 лога - они приложены.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Разблокируйте запуск Аваста, удалив в реестре

    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{306f67a4-1ce6-4497-8385-c28ff3b0efbc}
    C:\Program Files\Alwil Software
    Больше плохого не увидел
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Большое спасибо!

    Подскажите, как включить обратно восстановление системы? После отключения вкладка "System Restore" исчезла из свойств компьютера.

    Я разблокировал аваст, полностью переустановил его. Перед этим ещё раз проверил с помощью ComboFix, он удалил:
    c:\windows\system32\lowsec
    c:\windows\system32\lowsec\local.ds
    c:\windows\system32\lowsec\user.ds

    kaspersky.ru по прежнему недотупен, но я подозреваю блокировку моего IP на их стороне.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от VladimirP Посмотреть сообщение
    Подскажите, как включить обратно восстановление системы?
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    ExecuteWizard('TSW', 2, 2, true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    В итоге, действительно удалено 3 файла, которые видимо были вирусами. Но посторонний траффик так и остался - файл вложения (в фоне окно iptools.exe). 12Mb входящего за 2 минуты. Я никак их не инициировал. Это было первое подключение после выполнения всех скриптов. Я опять сделал логи - разницы с последними нет, кроме отсутствия удалённых ранее файлов. В чём же может быть причина? Может это какие-то обновления? Но как понять чего?

    Может ли быть причина в статическом IP - возможно кто-то узнав его организует какие-то атаки, которые являются причиной траффика?

    Пожалуйста, поделитесь Вашим профессиональным мнением.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Вы раздаёте Интернет в локальную сеть 192.168.0.0 через этот компьютер.

  12. #11
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Да, раздаю на ноутбук, но в моменты всех измерений он был выключен. Разве может выключенное устройство генерировать траффик? Причём исходящий.

    Есть ли средство узнать какой процесс потребляет траффик? Чтобы определить файл, из которого он зупускаестя.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Вы на свою картинку смотрели? Сколько у вас ноутбуков?
    192.168.0.72
    192.168.0.159
    Что это?

  14. #13
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Что бы это нибыло - это не мои устройства. Возмо ли что кто-то зная мой статический IP, подключается к этой локальной сети через моего же провайдера и тянет траффик? Это бы всё объяснило. Как можно это установить точно?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Не возможно. Они подключаются через тот же интерфейс, что и ноутбук.

  16. #15
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Я поставил Outpost Firewall Pro с самыми суровыми настройками, выполнил им проверку - он нашёл и удалил 2 бэкдора. Пока траффика нет. В списке таких соединений пока тоже нет.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Думаю, у ноутбука тоже Интернета не будет.

  18. #17
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    9
    Вес репутации
    29
    Действительно пока я его не настроил, но хотябы можно управлять доступом - там постоянно сканирование портов и подключения с этих странных IP локальной сети, которых нет. Я настроил фильтр, чтобы их блокировать. Меня вообще удивила неинициированная активность в сети.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adqc ( BitDefender: Trojan.Generic.2963595, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Malware-gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) VladimirP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 20.01.2011, 11:20
    2. Ответов: 9
      Последнее сообщение: 17.07.2009, 10:48
    3. Ответов: 15
      Последнее сообщение: 22.02.2009, 01:46
    4. Ответов: 7
      Последнее сообщение: 18.02.2009, 15:11
    5. Ответов: 3
      Последнее сообщение: 07.09.2006, 11:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01245 seconds with 16 queries